Cybersicherheit als Schlüssel zur erfolgreichen Digitalisierung

Die DIHK-Digitalisierungsumfrage zeigt, dass durchschnittlich jedes fünfte Unternehmen hierzulande im vergangenen Jahr vermutlich oder gesichert Opfer eines Cyberangriffes wurde. Bei Betrieben mit über 1.000 Beschäftigten waren es sogar 55 Prozent. Es ist insofern davon auszugehen, dass es früher oder später jedes Unternehmen treffen wird. Klar ist, dass ohne ausreichende Sicherheitsvorkehrungen immense wirtschaftliche Schäden drohen. Dennoch fehlt es insbesondere in kleineren und mittleren Unternehmen oft noch an ausreichendem Bewusstsein für die Gefahr, in anderen Fällen an den erforderlichen Ressourcen.

Der Gesetzgeber hat auf die Herausforderungen reagiert. Die 2023 in Kraft getretene zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2-Richtlinie) wird mit dem deutschen NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz realisiert und tritt voraussichtlich im Frühjahr 2025 in Kraft – die DIHK hat hierzu bereits im Mai in einem Positionspapier Stellung bezogen.

Das Gesetz verpflichtet viel mehr Unternehmen als bislang, ihre Cybersicherheit zu erhöhen, Vorfälle ans Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden und die Verantwortung für Cybersicherheit in den Führungsetagen zu verankern. Abgeleitete Sicherheitsanforderungen ergeben sich für Betriebe entlang der Lieferkette. Wichtig ist aber zugleich, dass Unternehmen bei der Umsetzung nicht durch neue bürokratische Lasten überfordert werden. Zusätzliche Dokumentationen und Nachweise an sich machen die Unternehmen nicht sicherer.

Die Herausforderungen im Bereich Cybersicherheit sind gewaltig, aber nicht unlösbar. Was es jetzt braucht, ist eine effiziente Zusammenarbeit von öffentlicher Hand und Wirtschaft, um die Unternehmen widerstandsfähiger zu machen und die Bedrohungen zu bewältigen.

Dafür müssen die Kooperationsprozesse der Behörden untereinander (BSI, Bundesamt für Bevölkerungsschutz und Katastrophenhilfe, Aufsichts- und Sicherheitsbehörden der Bundesländer, sektorspezifische Aufsichtsbehörden) und mit der Wirtschaft klar definiert und umgesetzt werden. Dies erfordert eine angemessene Ausstattung der Behörden. Meldungen der Unternehmen zu Cybersicherheits-Vorfällen müssen einen konkreten Mehrwert für die Betriebe haben, etwa durch eine Lieferung passgenauer aktueller Lagebilder mit Handlungsempfehlungen seitens der öffentlichen Stellen.

Die Aufmerksamkeit für NIS-2 allein bewirkt, dass Unternehmen sich verstärkt mit dem Thema befassen. Aktuell werden Ressourcen jedoch leider eher durch die Frage gebunden, ob man zu den Verpflichteten zählt. Gleichzeitig sind insbesondere die im Gesetz enthaltenen Maßnahmen zum Risikomanagement eine gute Grundlage, die jedes Unternehmen für seine eigenen Vorkehrungen nutzen sollte.